seguritecnia 457

SEGURITECNIA Octubre 2018 66 Protección de Infraestructuras Críticas bles de seguridad que acceden a la información. Para los equipos informáticos de los sistemas de seguridad no se mantie- nen los criterios estandarizados a ni- vel corporativo para cualquier equipo conectado a la Intranet: sistemas ope- rativos, antivirus, parches, actualiza- ciones, etc. No se realizan auditorías internas o ex- ternas de seguridad de la información sobre los sistemas de seguridad. No existen criterios de seguridad de la información a la hora de acordar ser- vicios con terceros, SLA ( Service Level Agreement ) o al seleccionar a provee- dores de servicios. Finalmente, como conclusión cabe destacar que las amenazas han cam- biado en todos los ámbitos, también el de los CCS. Si antiguamente proteger un CCS consistía en blindajes, esclusas y sistemas de control de acceso físico, ahora esas medidas no tienen nada que ver con las amenazas reales, cuyos actos pueden incluso pasar desapercibidos. Es urgente auditar los CCS, analizar sus riesgos de ciberseguridad y estu- diar el gap entre las medidas existen- tes y las necesarias. Pero, sobre todo, una vez más, es fundamental abrir los ojos de los responsables de seguridad física al nuevo escenario. Estas amena- zas han llegado para quedarse… y para evolucionar a peor. Los ciberriesgos de los sistemas de seguridad físicos son un flanco abierto. S Situación actual En España hay algún millar de CCS. Al- gunos de ellos son de tamaño muy re- ducido, con decenas de cámaras de TV, de detectores de intrusión y algunas lectoras. Otros, sin embargo, llegan a controlar centenares de cámaras de TV (o millares, como por ejemplo en aero- puertos), centenares de lectoras de con- trol de accesos y millares de detecto- res de incendio y de intrusión, amén de centenares de interfonos, etc. Finalmente, se deben considerar tam- bién las centrales receptoras de alar- mas, con decenas y a veces centenares de miles de conexiones mediante re- des dedicadas o utilizando Internet di- rectamente. Desde nuestra experiencia en audito- rías a CCS, aunque no pueda asumirse la muestra como totalmente represen- tativa, el panorama es muy preocu- pante. Como ejemplos frecuentes po- drían citarse los siguientes: No suele haber una política de con- traseñas establecida para los opera- dores de seguridad, los mantenedo- res de los equipos o los responsa- imágenes de TV y el caos en los acce- sos de un edificio en la hora punta. Por su parte, las correspondientes a la integridad no son menores: borrado de imágenes grabadas, generación de tarjetas de control de acceso a perso- nas ajenas, desconexión de alarmas a determinadas horas e indisponibilidad de la información relativa a las actua- ciones del equipo de seguridad (vigi- lantes, operadores) sobre el propio sis- tema de seguridad. Finalmente, la confidencialidad , te- niendo en cuenta que en los CCS se al- macenan imágenes grabadas, datos de personal y de visitas, etc., también es una consecuencia muy grave en caso de que las amenazas consigan su obje- tivo, como por ejemplo conocimiento por parte de terceros del sistema de seguridad, acceso a imágenes o infor- mación a personas que no deben co- nocerlas, incumplimiento de obliga- ciones relativas a protección de datos de carácter personal u otros incumpli- mientos. Por otro lado, cabe destacar que, ló- gicamente, las amenazas son externas e internas: Amenazas externas : debidas a que la conectividad exterior descrita per- mite “puertas” por las que acceder al sistema desde el exterior. Amenazas internas : no solo de operadores (vigilantes u operado- res del sistema), sino también por- que en muchos casos la misma red de datos que comunican las cáma- ras de TV, las interfaces, las centra- les de detección de incendios e in- trusión, etc., es la misma que la red corporativa por la que circulan los correos electrónicos y diversas apli- caciones de la empresa. Actualmente, la capacidad y el alcance de los CCS son muy superiores, siendo muy parecidos a los sistemas de control industriales